病毒使用SetErrorMode检测沙箱的小技巧

GandCrabv5.2沙箱检测技术剖析
最新推荐文章于 2025-06-07 09:22:36 发布
原创 最新推荐文章于 2025-06-07 09:22:36 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#检测沙箱 #AntiSandbox #CuckooSandbox

本文深入分析了GandCrabv5.2恶意软件如何利用SetErrorMode函数进行沙箱环境检测,通过一个简单demo演示了其运行逻辑,并提供了在Cuckoo沙箱中的运行结果,揭示了现代恶意软件反检测技术的细节。

以前分析GandCrab v5.2时,该样本通过SetErrorMode函数来检测是否运行在沙箱环境,具体代码如下:

在这里插入图片描述
程序入口逻辑:
在这里插入图片描述

写了个简单的demo,上传大cuckoosandbox沙箱中

#include "stdafx.h"
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
    SetErrorMode(0x400);
    if (SetErrorMode(0x0) == 0x400)
    {
        printf("执行正常逻辑\n");
    }
    else
    {
        printf("检测到沙箱,退出进程\n");
    }

    system("pause");
	return 0;
}

沙箱运行结果:
在这里插入图片描述

在Cuckoo沙箱github项目上可以找到相关代码:
https://github.com/cuckoosandbox/monitor/blob/master/bin/monitor.c
在这里插入图片描述

参考链接:

  • https://asec.ahnlab.com/1202
  • http://joxeankoret.com/blog/2010/02/23/antiemulation-techniques-malware-tricks-ii/
沙箱(安全软件)
01-01
沙箱:安全软件。 制造一个虚拟环境来运行软件,虚拟环境停止后,一切运行痕迹消失。
易语言程序多开专业模块
12-30
易语言程序多开专业模块V1.2(修复进程挂起 恢复)
病毒分析快速入门01--分析环境搭建
morta1的博客
03-22 1914
小C无聊的躺在床上,刷着#开学#话题微博。 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题。 回顾大学四年,小c所得称号最多得只有: “召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。 以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。 想着...
基于深度学习的病毒检测技术无需沙箱环境,直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络 Inception V4 进行训练和检测...
djph26741的博客
10-30 452
话题 3: 基于深度学习的二进制恶意样本检测 分享主题:全球正在经历一场由科技驱动的数字化转型,传统技术已经不能适应病毒数量飞速增长的发展态势。而基于沙箱检测方案无法满足 APT 攻击的检测需求,也受到多种反沙箱技术的干扰。在充分考察过各种技术方案的优劣后,瀚思科技开发出了基于深度学习的二进制病毒样本检测技术,可以做到沙箱同等水平的 99% 的检测准确率,而误报率低于 1/1000。...
沙箱 病毒分析 IOCs 威胁情报分析平台
weixin_72800795的博客
08-20 305
思科Talos情报组织-Cisco Talos Intelligence Group。沙箱 病毒分析 IOCs 威胁情报分析平台。CNTD网络安全威胁情报共享平台。venuseye威胁情报中心。山石云瞻 威胁情报中心。卡巴斯基威胁情报分析。腾讯安全威胁情报中心。
病毒分析一(CUCKOO布谷鸟沙箱搭建)
风雨中做个大人,阳光下就做小朋友
12-12 987
CUCKOO搭建
如何利用沙箱进行恶意软件分析?
瓦罗兰特顶级C位的博客
03-09 1179
恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织需要响应入侵的信息。
SetErrorMode沙箱
06-08
SetErrorMode 函数本身并不能直接用来反沙箱,但是可以通过它来检测当前程序是否运行在沙箱环境中。 在沙箱环境中,一些操作可能被限制或者被重定向到虚拟的文件系统或注册表中,因此可以通过尝试访问某些系统资源...
沙箱——SetErrorMode
weixin_30700977的博客
04-19 512
目录 1.前言 2.原理讲解 3.代码实现 4.参考 1.前言 利用SetErrorMode进行反沙箱的技术,在2010年就有被提出,但是之前搜了很久都没有相关内容,这里简单的说一下这个反沙箱的实现。反沙箱参考GandCrab5.2。 2.原理讲解 首先讲一下SetErrorMode这个函数,SetErrorMode是用于设置如何处理程序错误的,设置不同的值有不同的作用...
微软开源项目 Detours 详细介绍与使用实例分享
热门推荐
dvlinker的技术专栏
08-15 1万+
本文详细介绍微软开源库Detours,并分享使用Detours实现函数hook的实例。
SetErrorMode 反虚拟机
06-08
如果您想了解如何使用 SetErrorMode 函数来防止某些错误弹窗的出现,可以在程序的入口处添加以下代码: ``` #include int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int ...
SetErrorMode参数如何设置,不会影响SetUnhandledExceptionFilter的函数调用
04-25
好的,我需要帮助用户了解如何设置SetErrorMode参数,以确保其不会影响SetUnhandledExceptionFilter函数的调用。首先,我应该回顾一下这两个Windows API函数的作用。 SetUnhandledExceptionFilter函数用于设置顶层...
在线沙箱网站 在线恶意文件监测网站 病毒在线监测网站 apk分析在线网站
ShenZ的博客
07-29 9966
https://www.joesandbox.com/#windows 沙箱 https://www.hybrid-analysis.com/ https://habo.qq.com/index 腾讯哈勃分析,会把恶意行为列出来,如果测出函数也会列出来,我常常用来看apk啥的。 https://www.virscan.org/language/de/ 只能传20M以内的文件 ...
病毒分析网站和沙箱查找记录
you_get_me_there的博客
05-27 703
CAPE 沙箱 cuckoo替代品
【亲测免费】 Cuckoo Sandbox 使用教程
gitblog_00046的博客
03-27 630
Cuckoo Sandbox 是一个领先的开源自动化恶意软件分析系统。它可以对可疑文件进行动态分析,提供一个隔离环境来执行文件,并迅速返回详细的执行结果。Cuckoo 通过模拟文件执行的过程,帮助安全研究人员了解恶意软件的行为特征。 ## 2. 项目快速启动 以下是基于 Cuckoo Sandbox 的快速启动指南: 首先,确保您的系统中安装了以下依赖: - Python 3.x - Vi...
Cuckoo Sandbox:开源自动化恶意软件分析系统详解
最新发布
gitblog_00353的博客
06-07 594
Cuckoo Sandbox是一款开源的自动化恶意软件分析系统,它能够在隔离的操作系统环境中自动运行和分析可疑文件,并收集全面的分析结果。这个工具对于安全研究人员、恶意软件分析师以及企业安全团队来说都是极其宝贵的资源。 ### 核心功能特性 Cuckoo Sandbox能够捕获以下关键数据: * **系统调用追踪**:记录恶意软件生成的所有进程执行的调用 * **文件操作监控**:跟踪恶意软...
Ubuntu22.04系统Cuckoo sandbox环境搭建及安装踩坑记录含虚拟机分享(最后罗列)
Cho_pin的博客
03-26 2312
此文章写于2023年3月26日,已安装到75步,算是把环境全部搭建完毕,win7沙箱也完成,搭建耗时接近一天,算是踩了好多坑,把踩坑经历发布出来避免重复踩坑本人Linux经验匮乏,因此踩了不少多余的坑,尽力保证写一篇保姆级的避坑指南吧另附一个完成至75步的虚拟机文件,不想安装的小伙伴可以自行下载。
【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析 (2)
bdfcfff77fa的博客
07-10 1038
*(Sanbox)**是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。Cuckoo sandbox是一款用 Python和C/C++ 编写的开源的自动化恶意软件分析系统,且跨越Windows、Android、Linux和Darwin四种操作系统平台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值